O documento discute 13 mitos comuns sobre segurança na nuvem e como a AWS aborda cada um deles. Ele explica que a AWS oferece vários recursos de segurança integrados e automatizados para proteger dados e identidades, mantendo a propriedade dos clientes sobre seus conteúdos na nuvem. A segurança é uma prioridade para a AWS.
As questoes de seguranca mais comuns, mas vou comecar com esta frase
Eu tenho orgulho de trablhar para uma empresa que foca tanto em segurança e entendqe que na nuvem seguranca e prioridade
Padroes de curiosidade e confianca. Explicar ocmo a AWS mantem a infraestrutura segura e cada vez mais os clientes perguntam como operar de maneira segura na nuvem
Esa apresentacao e sobre as questoes que ouvimos dos clientes desde as mais simples ate as mais complexas. Vamos passar em 13 questoes diferentes
Apesar do titulo ser Descontraido, nao entenda de maneira errada, nos sabemos que estas questoes sao serias e fundamentias para que as empresas tomem decisoes sobre seguranca na AWS
Nós entendemos que estas perguntas são extremamente importantes
Questões básicas
Regulados e grandes clientes
Os clientes estao acosutmados a trabalhar em ambiente onde eles tem maior controle e tem receio de que a nuvem nao e tao segura
Quando falo com clientes que estao comecando a jornada na nuvem, eu costume focar em dois pontos: o que eles já estão familiarizados e os benefícios de usar a AWS
Familiar
Infra global com Regiões – lugares no mundo onde temos datacenters e nos disponibilizamos estes DC através de AZs. Voce pode usar multiplas Azs para criar HA e tolerante a flaha . Estes DCs implementam os mesmos controles
segurança perimetro, monitoracao, acesso a pessoas autorizadas , as credencias sao revisadas regularmente
Um dos problemas - baixa visibilidade e automação
Na AWS muita visibilidade nos eventos que ocorrem na sua infra e poder de automação
Automatizar a resposta a um evento de segurança
Networking engineer comecam a mudra alguma regra de firewall ou topologia de rede. Uma alteracao na subread, tablea de roteamento e expos um servidor na internet (telnet, FTP)
Se quiser voce pode elvar alem e preventivamenet revogar a creedencial do engenheiro
Data location
A AWS tem uma politica muito direta sobre este tema, voce tem a propriedade dos seus dados
A AWS não irá moverá seus dados a menos que você autorize
A gente não usa o seu conteúdo de nenhuma forma para propaganda ou marketing
Onde você guarda os dados, você escolhe e assim que conseguimos attender regras de soberania de diversos paises ao redor d omudno
Permissões restritas
IAM permite criar usuarios, grupos, quais permissoes, quais dados seus usuarios podem acessar. Voce pode ter controle granular
Controles para ajudar na detecçao
Cloudtrail – ubiquitous logging das chamadas de api no seu ambiente, chamadas dos usuarios aos servicos e entre servicos
Politica
Voce esta no controla o conteudo
Voce escolhe onde (regiao) armazenar os dados e nao mover sem o seu consentimento
Voce controla quem pode acessar estes dados
Voce tem visibilidade para logar o acesso a estes dados e como ele esta sendo usado
Milhoes de clientes ativos
Setro da Saude, Setor publico ou Financeiro
AWS certifica a plataforma globalmente, 50 certificações – ISO 27001, SOC 1,2,3, PCI DSS
Regional – US FISMA / FINRA, Brasil BACEN
Auditores 3os independentes
Artifact mostra os relatorios com os controles. Por exemplo, SOC2 detalha como fazemos
EA – contrato personalizado para os clientes. Se voce tiver algum requisite especifico, este tipo de acordo pode ser uma opção
"Nosso programa de garantia de segurança atende ou excede os requisitos de segurança globais, específicos do país e do setor
Our security assurance program meets or exceeds industry, country-specific, and global security requirements
Disponível em vários pontos da plataforma, informação sensível ou pessoal
Usando as melhores praticas vigentes para criptografar dados em repouso e transito
Várias opções que em muitas vezes podem ser ligadas com um clique
Exemplo: S3 e EBS
Mais controle, recomendamos o KMS – integrado com mais de 45 serviços
Gerenciar chaves - (importar, revogar, permissões para acessar as chaves. Serviço gerenciado
KMS Validado com FIPS 140-2 level 2
Cloud HSM Validado FIPS 140-2 level 3
---
AWS encryption services are integrated into dozens of our services and meet the strictest industry requirements
Eu tenho um requisito para testes de segurança, eu não posso fazer isso na nuvem
Peneteration test / security test sao bem importantes para verificar que sua aplicacao esta segura
Explicar o modelo de responsabilidade compartilhada
Penetration testing, pelo que voce cria. Regra de firewall, SQL injection
Pode fazer testes mas tem que pedir autorizacao
Inspector – host based agent - CVE database
Recentemente mais dados - network reachability assessment – quais portas estao abertas
Parceiros no marketplace – virtual appliance - imagens pré-aprovadas
Clientes com mais experiência na AWS
Tem um pouco de confusao sobre este ponto quando os clientes estao usando AWS
Usando EC2, escolhe o SO, acessando o SO diretamente – você é responsável por manter seu Sistema atualizado e isto é bem importante
Reconstruir os ambientes, começar do zero de tempos em tempos
Inspector
Systems manager – remote configuration utility - query and update systems
Muitos sevicos sao gerenciados pela AWS. RDS, Lambda,
EC2 com Mysql – SO + MySQL
RDS com MySQL
You are responsible for patching operating systems that you manage. AWS is responsible for patching services that we manage
Varios servicos de armazennamento – EBS, S3, Vamos focar no s3 neste exemplo
Seguro por padrão – bucket totalmente privado e acessivel apenas pelo dono
Em alguns casos voce vai querer permitir o acesso publico a um bucket por exemplo hospedar um site estatico
Abrir um bucket sem querer. Incluimos controles para ajudar IAM policies
Account wide setting
Detective controls – avisos , lista os publicos antes e identificados
Stream eventos para o SOC ou Sec team para tomar uma attitude
Alem disto, voce pode automatizar a resposta. Por exemplo, como uma fncao lambda, voce pode disparar um programa para fechar o bucket
Identifidade
E um modelo de acess odiferente do DC
No mundo real voce monta a infraestrutura e libera as pessoas para usarem
Na nuvem voce da acesso as pessoas para elas construirem uma infra virtualizada
Controles Preventivo
Usar mais de um fator de autenticacao um token ou virtual no telefone. Primariamente para usuarios do console / acesso humano
Nao criar uma chave estatica, usar Roles – assumir o papel para fazer a acao temporariamente
Controles deteccao
Amazon GuardDuty é um dos serviços com crescimento mais rapido da AWS - intrustion detection system: IAM issues (login de varios lugares ao redor do mundo ao mesmo tempo)
---
AWS provides a number of tools to protect your identity and access credentials and to help you detect misuse
Clientes com exigencias adicionais como apagar o quanto antes ou guardar por varios anos
Pensar em dois aspectos
Logica – zerar os dados, ou remover o caminho logico para o objeto
Remover o acesso logico
Destruir fisicamente o disposiivo - usando padroes conhecidos NIST-888
Dispositivos nao saem do DC sem serem destruidos adequadamente
Como sabemos que voces estao fazendo isto?
Compliance program – estao documentados (SOC 2)
Produzido por auditores independents
Serverless services are not secure because they are shared between customers
Serverless veio para ficar, varios clientes estao usando servicos
Como protégé-los
Lambda
Identidade e a principal forma de controlar
Upload code, access code
Lambda – how to secure
Herdar os controles de seguranca da AWS
Roda em EC2 herda o isolamento do EC2
EC2 associado a sua conta conta
We are patching the container env, SO, etc
As chamadas ao servico lambda sao autenticadas e autorizadas a cada chamada e ha logs para isto
AWS e muito vigilante com os pedidos
ão entrega
AWS vai lutar pela privacidade do cliente
Você pode ecnriptar os dados com suas chaves o que torna o acesso a eles inutil sem a chave
Transparencia importante
Relatorios publicos Bianual
AWS CISO – Keep humans away from data, homens cometem erros, e quanto mais chacnes eles tiverem de acessar dados, maior a chance de erro
Tecno
Isolamento - Staff with DC nao tem acesso logico aos servicos
Amazon corporate network and Amazon services network are different. Com credenciais diferentes
Em alguns cenarios eventuais quando alguem precisa acessar as duas, precisa usar credencias, MFA, VPN, atraves de um bastion host, geram logs, e os logs sao revisados
Process control
RH screening
Tudo isto e descrito no programa global de conformidade que mostra em mais detalhes como estes controles sao implementados
It is possible to bypass your isolation technology and access someone else’s data
Hipervisor e tecnologia de virtualizacao
2 pontos importantes Experiencia e inovacao
Experiência mais de uma década criadndo, operando
2 virtualizadores open source Xen e KVM
Ser um particapnete do Zen nos permite receber notificacoes antecipadas sobre potenciais problemas de seguranca
Tratar problemas sem impactar os clientes
Personalizando Zen – menos funcionalidades, menos codigo, tipicamente causa menos bugs
Purpose built Hardware – nitro – mais desempenho, outra camada de separacao (guest SO e hypervisor system)
Herdar controles segurancas dos clientes mais exigentes
Security competency program
Hooks na automatacao , automatizar a deteccao e resposta
Parceiros de seguranca, temos um programa de competencia para parceiros de seguranca
Se você entendeu mais sobre segurnca na nuvem . a mensagem va para o seu trabalho e fale para os seus amigos, fale para o seu CEO
Neste link tem uma mensagem para C-Level sobre seguranca na nuvem
Encerrar com esta frase que tem a ver com o modelo responsabiliadde compartilhada. A AWS tem o trablaho de entregar uma infraestrura seguar e voce tem a responsabiilade de construer aplicaceos de maneira segura
---
CIOs and CISOs need to stop obsessing over unsubstantiated cloud security worries, and instead apply their imagination and energy to developing new approaches to cloud control, allowing them to securely, compliantly, and reliably leverage the benefits of this increasingly ubiquitous computing model